ProcDOT：恶意软件分析的可视化利器

ProcDOT是由Cert.at的Christian Wojner开发的工具，用于处理Sysinternals Process Monitor日志和PCAP网络数据包（Windump、tcpdump），通过GraphViz生成交互式可视化图表。该图表可视化任何相关活动（可自定义），并支持交互式分析，对恶意软件分析师非常方便。

安装依赖

1.下载安装windump（下载地址：https://www.winpcap.org/windump/）

2.下载安装Wireshark（下载地址：https://www.wireshark.org/download.html）

3.下载安装Process Monitor（procmon）（下载地址：

https://learn.microsoft.com/en-us/sysinternals/downloads/procmon）

4.下载安装Graphviz（下载地址：https://graphviz.org/download/）

5.下载安装ProcDOT开发版（

下载地址：

https://www2.graphviz.org/Packages/development/windows/10/cmake/Release/x64/graphviz-install-2.44.2~dev.20201112.1525-win64.exe）

ProcDOT配置

为了运行ProcDOT，需要先指定WinDump和Graphviz的路径。

转到“编辑”>“选项”，并按以下方式填写路径：

如下所示

使用/示例

捕获恶意软件运行日志、网络流量

1.运行Process Monitor（procmon）实时记录恶意软件进程信息、带有集成符号支持的完整线程堆栈等日志，如下所示：

2.导出procmon中恶意软件运行记录的日志，请确保：

（1）不包含"Sequence Number"列

（2）包含"Thread ID"列

（3）同时确保不解析网络地址"Show Resolved Network Address"不要勾选

然后导出（File > Save）输出为CSV文件，如下所示：

3.运行wireshark捕获恶意软件运行的网络流量包，如下所示

并将网络流量数据导出保存为malwarepacket.txt，如下所示

4.运行恶意软件（注意：这个要在虚拟机环境测试，不要在办公系统或者平时使用的系统中测试，不然可能信息会被窃取）：

5.按上面的导出方法将procmon恶意软件运行的日志、wireshark中恶意软件运行的网络流量数据包导出来

ProcDOT输入日志、网络流量数据包生成可视化图表

1.运行procdot，在Procmon选项中选择procmon导出的日志、在Windump选项中选择wireshark网络流量数据包，在launcher中选择恶意软件进行，然后点击Refresh即可生成恶意软件的日志图像，如下所示：